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(3) Synchronisationsverfahren 

(5?) Synchronisationsverfahren fur ein redundant aufgebautes 
Automatisierungssystem (1), bestehend aus mindestens 
zwei Teilsystemen (2, 2'), die zur Steuerung eines Prozesses 
functional identische Folgen von Maschinenbefehlen (MP) 
ausfuhren, we I c he an miteinander korrespondieranden Stei- 
len Inkrementierungs-Anwetsungen (IA) zur Inkrementierung 
eines Synchronisationszahfers (SZ, SZ') aufweisen. Die 
Synchronisation erfolgt anhand des Wertes eines Synchro- 
nisationszahlers (SZ, SZ') zu mind est dann, wenn ein Tei I sy- 
stem (2, 2') ein Sonderereignis (11) registries. Dazu wird ein 
Synchronisationszahler-Zieiwert (SZZ) ermittelt, so daB die 
Teilsysteme (2, 2') die Ausfuhrung der Folge von Maschinen- 
befehlen (MP) beim Erreichen einer Synchronisationsposi- 
tion (SP), bei der die Werte der jeweiligen Synchronisations- 
zahler (SZ, SZ') den Synch ronisationszahler-Zielwert (SZZ) 

1 erreichen, unterbrechen. 
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Die vorliegende Erfindung betrifft ein Synchronisa- 
tionsverfahren fur ein redundant aus mindestens zwei 
Teilsystemen aufgebautes Automatisierungssystem, bei 
dem die mindestens zwei Teilsysteme mindestens einen 
Prozessor aufweisen, iiber Kommunikationsmittel mit- 
einander gekoppelt sind, zur Steuerung eines Prozesses 
funktional identische Folgen von Maschinenbefehlen 
ausfiihren und sich von Zeit zu Zeit iiber das Kommuni- 
kationsmittel miteinander synchronisieren 

Synchronisationsverfahren fur Automatisierungssy- 
steme sind allgemein bekannt Bei dem Verfahren ge- 
maB der EP-A-0 497 147 synchronisieren sich die Teilsy- 
steme eines aus zwei Teilsystemen aufgebauten Auto- 
matisierungssystems spatestens nach Ablauf einer vom 
Benutzer vorwahlbaren Zeit. Ahnliches gilt ftir den Ge- 
genstand der EP-A-0 616 274. Hier erfolgt die Synchro- 
nisation in Abhangigkeit von der tatsachlichen Laufzeit 
einer Folge von Maschinenbefehlen. Dazu ist sowohl die 
Kenntnis der Laufzeiten der Befehle des Anwenderpro- 
grammes sowie ein permanentes Aufaddieren dieser 
Laufzeiten erforderlich. Die bekannten Verfahren sind 
Lnsofern noch nicht optimal, als unndtig viel Zeit fur die 
Synchronisation verbraucht wird. 

Die Aufgabe der vorliegenden Erfindung besteht 
foiglich darin, ein Synchronisationsverfahren mit mini- 
malen Aufwand fur ein aus mindestens zwei Teilsyste- 
men aufgebautes Automatisierungssystem anzugeben. 
Dabei soil das Synchronisationsverfahren unabhangig 
vom Vorhandensein einer spezieilen Hardware sein. 
Das erfindungsgemaBe Synchronisationsverfahren soli 
dabei die Rechenleistung des Automatisierungssystems 
in so geringem MaBe wie moglich beeintrachtigen. 

Die Aufgabe wird durch ein Verfahren gemaB der im 
kennzeichnenden Teil der Patentanspniche 1 bzw. 2 an- 
gegebenen Merkrnale gelost 

Das Synchronisationsverfahren basiert auf einem 
Zahler fiir jedes der Teilsysteme — nachfolgend Syn- 
chronisationszahler genannt — , der durch Inkrementie- 
rungsanweisungen inkrementiert, d. h. um eins erhoht 
wird Das Inkrementieren stellt fiir einen Prozessor eine 
besonders einfache Aufgabe dar, die in Einzelfallen auch 
innerhalb nur eines einzigen Taktzyklusses und daher 
besonders schnell erfolgt 

Eine Synchronisation wird zumindest dann durchge- 
fiihrt, wenn eines der mindestens zwei Teilsysteme — 
nachfolgend das alamierte Teilsystem genannt — ein 
Sonderereignis, z. B. einen Interrupt oder einen Alarm 
registries. In diesem Fall ubermittelt das alarmierte 
Teilsystem dem mindestens einen anderen Teilsystem 
den aktuellen Wert seines Synchronisationszahlers. 

Durch diese Obermittlung ist das mindestens eine ande- 

re Teilsystem zumindest informiert, daB ein Sonderer- 
eignis aufgetreten ist Das mindestens eine andere Teil- 
system ubermittelt seinerseits jedem anderen Teilsy- 
stem den aktuellen Wert seines Synchronisationszah- 
lers. Jedes der Teilsysteme ist damit iiber den aktuellen 
Wert des eigenen Synchronisationszahlers sowie iiber 
den Wert des Synchronisationszahlers des mindestens 
einen anderen Teilsystemes informiert 

Zum Zeitpunkt des Auftretens des Sonderereignisses 
kann eines der Teilsysteme dem mindestens einen ande- 
ren Teilsystem bei der Ausfuhrung der Folge von Ma- 
schinenbefehlen vorauseilen. Ist dies der Fall, so ist es 
daruber hinaus moglich, daB das vorauseilende Teilsy- 
stem bereits eine groBere Anzahl von Inkrementie- 
rungsanweisungen ausgefiihrt hat, so daB die Werte der 


Synchronisationszahler der Teilsysteme differieren. 

Jedes Teilsystem ermittelt aus dem Wert des eigenen 
Synchronisationszahlers und aus dem Wert des Syn- 
chronisationszahlers des mindestens einen anderen Teil- 
5 systemes den aktuell groBten Wert Der Wert des Syn- 
chronisationszahlers, den alle Teilsysteme durch weite- 
res Ausfiihren der Folge von Maschinenbefehlen ge- 
meinsam erreichen konnen, ist der um eins erhohte — 
also inkrementierte — groBte Wert des Synchronisa- 

io tionszahlers. Daher wird in jedem Teilsystem der groBte 
Wert der Synchronisationszahler aller Teilsysteme in- 
krementiert Dieser fiir alle Teilsysteme gleiche Wert 
wird nachfolgend Synchronisationszahler-Zielwert ge- 
nannt Dieser kann selbstverstandlich alternativ auch 

is bestimmt werden, indem zunachst die Werte der Syn- 
chronisationszahler inkrementiert werden und darauf- 
hin der Synchronisationszahler-Zielwert als deren Ma- 
xim alwert ermittelt wird. 

Die Teilsysteme unterbrechen die Ausfuhrung der 

20 Folge von Maschinenbefehlen beim Erreichen der Posi- 
tion derjenigen Inkrementierungsanweisung — nachfol- 
gend Synchronisationsposition genannt — bei der die 
Werte der jeweiligen Synchronisationszahler den Syn- 
chronisationszahler-Zielwert erreichen. Da die Inkre- 

25 mentierungsanweisungen an miteinander korrespondie- 
renden Stellen der funktional identischen Folgen von 
Maschinenbefehlen auftreten, eignen sich die Inkremen- 
tierungsanweisungen foiglich besonders gut als poten- 
tielle Synchronisationsposition. 

30 Das Erreichen einer solchen Synchronisationsposi- 
tion kann wiederum besonders einfach durch Vergleich 
des Wertes des jeweiligen Synchronisationszahlers mit 
dem Synchronisationszahler-Zielwert ermittelt werden. 
Das Synchronisationsverfahren basiert damit im we- 

35 sentlichen auf Inkrementierungs- bzw. Vergleichopera- 
tionen, die fur einen Prozessor besonders schnell und 
ef fizient durchf uhrbar sind. 

Da beide Teilsysteme ihre Synchronisationsposition 
zu unterschiedlichen Zeitpunkten erreichen konnen, si- 

40 gnaiisiert jedes Teilsystem dem mindestens einen ande- 
ren Teilsystem mit einem Synchronisationssignal das Er- 
reichen der Synchronisationsposition. Jedes Teilsystem 
wartet daraufhin auf den Eingang des Synchronisations- 
signals von dem mindestens einen anderen Teilsystem, 

45 wodurch dieses signalisiert, daB es seinerseits die Syn- 
chronisationsposition erreicht hat Im Falle von mehr als 
einem anderen Teilsystem wartet jedes Teilsystem auf 
den Eingang der Synchronisationssignale von alien an- 
deren Teilsystemen, so daB jedes Teilsystem weitere 

50 Aktionen erst dann durchfiihrt, wenn alle Teilsysteme 
die Synchronisationsposition erreicht haben. Es sind je- 
doch gleichfalls auch Anwendungsfalle denkbar, bei de- 

nen bei Erreichen der Synchronisationsposition kein 

Synchronisationssignal ausgetauscht wird. 

55 Jedes Teilsystem ermittelt nach Erreichen der Syn- 
chronisationsposition und nach Registrieren des Syn- 
chronisationssignals von dem mindestens einen anderen 
Teilsystem eine fiir das Sonderereignis spezifische Re- 
aktion und ftihrt diese aus. Diese Reaktion ist eine fiir 

so das Sonderereignis spezifische Folge von Maschinenbe- 
fehlen. Danach setzt jedes Teilsystem die Ausfuhrung 
derjenigen Folge von Maschinenbefehlen fort, deren 
Ausfuhrung beim Erreichen der Synchronisationsposi- 
tion aufgrund der Synchronisation sowie aufgrund der 

65 Reaktion auf das Sonderereignis zunickgestellt wurde. 
Das alarmierte Teilsystem ubermittelt dem minde- 
stens einen anderen Teilsystem das Sonderereignis fru- 
hestens unmittelbar nach dem Registrieren des Sonde- 
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rereignisses, z. B. in Verbindung mit der Obermittlung 
des aktuellen Wertes des Synchronisationszahlers, spa- 
tes tens jedoch in Zusammenhang mit dem Synchronisa- 
tionssignaL 

Es gibt auch Falle, bei deneri fur die Ausfuhrang der 
fur das Sonderereignis spezifischen Reaktion das Aus- 
tauschen bzw. das Warten auf das Synchronisationssi- 
gnal nicht erfolgt In einem solchen Fall wird bei Errei- 
chen der Synchronisationisposition die sonderereignis- 
spezifische Reaktion unmittelbar ausgefuhrt Es erfolgt 
dann zwar keine zeitliche Synchronisation, dennoch ist 
durch das erfindungsgemaBe Verfahren sichergestellt, 
da£ die sonderereignis-spezifische Reaktion zwar nicht 
zeitgleich, doch aber an funktional identischen Positio- 
nen innerhalb der Folge von Maschinenbefehlen des 
jeweiiigen Teilsystems ausgefuhrt wird. Auf diese Weise 
ist die gewunschte Synchronisierung sichergestellt, da 
die Synchronisationspositionen an miteinander korre- 
spondierenden Stellen der Folgen von funktional identi- 
schen Maschinenbefehlen angeordnet sind. 

Das Erreichen der Synchronisationsposition ist be- 
sonders effizient rnoglich, wenn gemaB Anspruch 3 die 
Adresse eines jeden Maschinenbefehls der Folge von 
Maschinenbefehlen, insbesondere die Adresse des aktu- 
ell auszufiihrenden Maschinenbefehls sowie die Adresse 
desjenigen Maschinenbefehls, der mit der Synchronisa- 
tionsposition korrespondiert, ermittelbar ist. 

Dadurch ist es moglich, daB beim Ausfuhren der Fol- 
ge von Maschinenbefehlen — zumindest nach der Regi- 
strierung des Sonderereignisses durch das alarmierte 
Teilsystem — stets die Adresse des aktueil auszufiihren- 
den Maschinenbefehls mit der Adresse desjenigen Ma- 
schinenbefehls, - der mit der Synchronisationsposition 
korrespondiert,; verglichen wird. Wird eine Uberein- 
stimmung der beiden zu vergleichenden Adressen fest- 
gestellt, so ist die Synchronisationsposition erreicht Das 
Ausfuhren der Folge von Maschinenbefehlen ist auf die- 
se Weise genauvbei Erreichen der Synchronisationsposi- 
tion unterbrechbar. 

Fur den Fall, daB die Synchronisationsposition inner- 
halb einer bedingt oder unbedingt zu wiederholenden 
Teil folge der Folge von Maschinenbefehlen liegt, wer- 
den die einzelnen Maschinenbefehle mehrfach abgear- 
beitet Die Position einer Inkrementierungsanweisung 
wird jedoch erst dann zur Synchronisationsposition, 
wenn mit dem Ausfuhren der Inkrementierungsanwei- 
sung der Synchronisationszahler den Synchronisations- 
zahier-Zielwert erreicht Daher kann es im Falle von 
Schleifen vorkommen, daB eine Inkrementierungsan- 
weisung im Rahmen der Schleife mehrfach abgearbeitet 
wird, jedoch erst nach einer gewissen Anzahl von Abar- 
beitungen zur Synchronisationsposition wird. In diesem 
Fail ist also das Ermitteln der Adresse der Inkrementie- 
rungsanweisung nicht ausreichend. In diesem Falle ist 
die Synchronisationsposition erst dann erreicht, wenn 
die Adresse des aktueil auszufiihrenden MaschinenbeT 
fehls mit der Adresse desjenigen Maschinenbefehls, der 
mit der potentiellen Synchronisationsposition korre- 
spondiert, iibereinstimmt und gleichzeitig der Synchro- 
nisationszahler mit dem Synchronisationszahierzielwerc 
Iibereinstimmt 

Ist — wie oben beschrieben — die Adresse eines 
jeden Maschinenbefehls ermittelbar, so ist dariiber hin- 
aus mit der Synchronisationsposition ein "Break-Point" 
verbindbar, so daB die Ausfuhrung der Folge von Ma- 
schinenbefehlen exakt an der Synchronisationsposition 
unterbrochen wird. Die Oberprufung, ob die Synchroni- 
sationsposition — also die mit dem Break-Point verbun- 


dene Adresse — erreicht ist, ubernimmt der Prozessor 
dann direkt Oblicherweise — Prozessoren der Fa. IN- 
TEL, z. B. i80386, i80486, Pentium, etc. — wird bei Errei- 
chen der mit dem Break-Point verbundenen Adresse ein 

5 Interrupt ausgelost, dessen Eintreffen eindeutig das Er- 
reichen der fraglichen Adresse anzeigt 

Ist der Prozessor in einem Einzelschrittmodus — also 
im "Single-Step-Mode" — betreibbar, so ist es alternativ 
auch moglich, beim Ausfuhren der Folge von Maschi- 

io nenbefehlen — zumindest nachdem das aiamierte Teil- 
system ein Sonderereignis registriert hat — stets die 
Adresse des aktueil ausgefuhrten Maschinenbefehls mit 
der Adresse der Synchronisationsposition zu verglei- 
chen. Wird eine Obereinstimmung festgestellt, so ist die 

15 Synchronisationsposition erreicht und die Abarbeitung 
der Einzelbefehie der Folge von Maschinenbefehlen 
wird unterbrochen. 

Eine weitere effiziente Mogiichkeit fur das Erreichen 
der Synchronisationsposition besteht gemaB der Merk- 

20 male des Anspruchs 4 darin, daB beim Ausfuhren der 
Folge von Maschinenbefehlen — zumindest nach der 
Registrierung des Sonderereignisses durch das alar- 
mierte Teilsystem — stets der Wert des Synchronisa- 
tionszahlers mit dem Synchronisationszahler-Zielwert 

25 verglichen wird und daB das Ausfuhren der Folge von 
Maschinenbefehlen unterbrochen wird, wenn der Wert 
des Synchronisationszahlers den Synchronisationszah- 
ler-Zielwert erreicht Dazu wird eine erste Speicherstel- 
le und eine zweite Speicherstelle ermittelt, wobei in der 

30 ersten Speicherstelle der. Wert des Synchronisations- 
zahlers gespeichert ist und in der zweiten Speicherstelle 
der Synchronisationszahler-Zielwert gespeichert ist Bei 
gebrauchlichen Prozessoren, insbesondere den genann- 
ten Prozessoren der Fa. INTEL, ist der Prozessor so 

35 programmierbar, daBdas Ausfuhren der Folge von Ma- 
schinenbefehlen unterbrochen wird, sobald der Inhalt 
der ersten Speicherstelle mit dem Inhalt der zweiten 
Speicherstelle iibereinstimmt Diese spezielle Funktio- 
nalitat des Prozessors wurde bisher vor allem fur Feh- 

40 Iersuchprogramme — sogenannte Debugger — ausge- 
nutzt Sie kann selbstverstandlich auch zum Erreichen 
der Synchronisationsposition ausgenutzt werden. 

Die Positionen der Inkrementierungsanweisungen in- 
nerhalb der Folge von Maschinenbefehlen konnen ge- 

45 maB unterschiedlicher Strategien festgelegt werden. 
Wenn die Foigen von Maschinenbefehlen aus Befehlsse- 
quenzen einer Programmiersprache erzeugt werden, ist 
es vorteilhaft, die Inkrementierungsanweisungen be- 
reits wahrend der Umsetzung der Befehlssequenzen in 

50 die Foigen von Maschinenbefehlen einzufiigen. Zum 
LJmfang der Erfindung gehort jedoch auch, die Inkre- 
mentierungsanweisungen nach der Erzeugung der Fol- 
ge von Maschinenbefehlen jedoch vor deren Ausfuh- 
rung mittels einer Relocierung in diese einzufiigen. 

55 Handelt es sich bei den Befehlssequenzen um Befehls- 
sequenzen einer Programmiersprache, bei der zusam- 
mengehorige Befehlssequenzen in einem Block zusarn- 
mengefaBt sind, werden die Inkrementierungsanweisun- 
gen in die Folge von Maschinenbefehlen jeweils an zu- 

eo mindest einer der Grenzen des Blocks eingefiigt Bei- 
spiele fur solche Programmiersprachen sind samtliche 
"strukturierten" Programmiersprachen — wie z. B. Pas- 
cal, PEARL, C/C+ +, eta — die jeweils Sprachmittel 
fur die Vereinbarung eines Blockes aufweisen, wobei 

65 ferner spezielle Sprachmittel auch Lmplizit einen Block 
festlegen. 

Stets sind Inkrementierungsanweisungen — wie auch 
im Stand der Technik gemaB der EP-A-0 497 147 — in 


BNSDOCID' <D E 1 9625 1 95 A 1 _l > 


3 # 

Zusammenhang mit samtlichen Sprungbefehlen, z. B. 
bedingten und unbedingten Sprungbefehlen, ein2ufu- 
gen. Unter Sprungbefehlen werden dabei samtliche Be- 
fehle und damit auch Anweisungen aus sogenannten 
Hochsprachen verstanden, die auf der dem Prozessor 
direkt verstandlichen Sprachebene zu einem bedingten 
oder unbedingten Sprung fuhren. Dies ist erforderlich, 
weil durch einen Sprung eventuell Inkrementierungsan- 
weisungen ubersprungen werden. Insbesondere ware es 
denkbar, daB durch einen Sprung iiber einen langeren, 
moglicherweise sogar iiber einen unbegrenzten Zeit- 
raum nur Maschinenbefehle zwischen zwei Inkremen- 
tierungsanweisungen ausgefuhrt wiirden, so daB wah- 
rend dieses Zeitraumes keine Inkrementierungsanwei- 
sungen ausgefuhrt wurden. In diesem Falle wiirden ent- 
sprechend keine potentiellen Synchronisationspositio- 
nen erreicht werden, so daB die Synchronisation nicht 
durchfuhrbar ware. Daher werden die Inkrementie- 
rungsanweisungen haufig, jedoch nicht notwendiger- 
weise, vor einem solchen Sprungbefehl eingefiigt 

Im Falle von Aufrufen von sogenannten Unterpro- 
grammen ist es vorteilhaft, wenn die Inkrementierungs- 
anweisungen innerhaib des Unterprogramms, also am 
Anfang des Unterprogramms und am Ende des Unter- 
programms eingefiigt werden. Damit lafit sich vorteil- 
hafterweise das Einfugen der Inkrementierungsanwei- 
sungen in die Folgen von Maschinenbefehlen deutiich 
vereinfachen, da der Aufmf eines Unterprogramms 
nicht immer eindeutig erkennbar ist, wohl aber der Start 
und das Ende eines Unterprogramms. Exemplarisch sei- 
en hier fur die Assembler-Programmiersprache die 
CALL- und die RET-Anweisung genannt, die jeweils 
einen Sprung in ein Unterprogramm bzw. einen Ruck- 
sprung aus einem Unterprogramm ausldsen. 

Im Falle von speicherprogrammierbaren Steuerun- 
gen, deren spezielle Programmiersprachen ublicherwei- 
se keine Sprachmittel fur eine block-orientierte Struktu- 
rierung anbieten, sind die Inkrementierungsanweisun- 
gen stets vor Sprungbefehlen einzufiigen. Speziell im 
Falle von speicherprogrammierbaren Steuerungen er- 
folgt eine Strukturierung der Folge von Maschinenbe- 
fehlen haufig mittels sogenannter "Bausteine". Damit ist 
ein Baustein durchaus als spezielle Auspragung eines 
Blockes anzusehen. Da die bei der Ausfuhrung der Fol- 
ge von Maschinenbefehlen einer: speicherprogrammier- 
baren Steuerung erforderlich werdenden Baustein- 
wechsel mit Hilfe von Sprungbefehlen realisiert sind, 
fiihrt auch hier das Einfugen von Inkrementierungsan- 
weisungen vor einem Sprungbefehl zu dem gewiinsch- 
ten Ergebnis. Gleiches gilt in analoger Weise auch fur 
nicht oder in nur geringem MaBe strukturierte Pro- 
grammiersprachen, wie z. B. Assembler oder BASIC 

Weiterhin konnen die Inkrementierungsanweisungen 
auch nach einer festen, insbesondere vom Anwender 
vorgebbaren Anzahl von Einzelbefehlen der Folge von 
Maschinenbefehlen in die Folge von Maschinenbefeh- 
len eingefiigt werden. Eine auf diese Weise vorgegebe- 
ne Abfolge von Inkrementierungsanweisungen hat den 
Vorteil, daB die mittlere Zeitspanne zwischen dem Auf- 
treten zweier Inkrementierungsanweisungen stets in et- 
wa gleich bleibt Der Zeitraum zwischen dem Auftreten 
zweier Inkrementierungsanweisungen wird durch die 
Summe der Laufzeiten der zwischen den Inkrementie- 
rungsanweisungen auszufuhrenden Einzelbefehle fest- 
gelegt 

Sind die mit den Inkrementierungsanweisungen kor- 

respondierenden potentiellen Synchronisationspositio- 

nen in tatsachlich aquidistanten Zeitabstanden ge- 
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wunscht, so wird wahrend der Umsetzung der Befehls- 
sequenzen der Programmiersprache in die Folge von 
Maschinenbefehlen die Laufzeit eines jeden Einzelbe- 
fehls ermittelt und die Laufzeit einer Folge von Einzel- 
5 befehlen durch Aufaddieren der Laufzeiten der einzei- 
nen Einzelbefehle ermittelt Beim Erreichen einer be- 
stimmten, insbesondere vom Anwender vorgebbaren 
Laufzeit wird in die Folge von Maschinenbefehlen eine 
Inkrementierungsanweisung eingefiigt Nach einer In- 
to krementierungsanweisung beginnt das Aufaddieren der 
Laufzeiten der einzelnen Befehle wieder bei Null Stets 
ist jedoch, aus den oben bereits genannten Gninden, ein 
Einfugen von Inkrementierungsanweisungen vor 
Sprungbefehlen erforderlich. Die Inkrementierungsan- 
15 weisung vor einem Sprungbefehl kann zusatzlich zu den 
Einfugungen nach dem festen Laufzeit-/Abstandsraster 
erfolgen. Alternativ ist es jedoch moglich, daB nach ei- 
ner Inkrementierungsanweisung, die vor einem Sprung- 
befehl eingefiigt ist, die Laufzeit- bzw. Abstandszahlung 
20 bei Null beginnt 

Weiterhin konnen die Inkrementierungsanweisungen 
auch in die Folge von Maschinenbefehlen bzw. in die 
Foige von Befehlssequenzen — nachfolgend Quell folge 
bzw. Quellsequenz genannt — eingefiigt werden, indem 
25 die Quell folge bzw. die Quellsequenz hinsichtlich be- 
stimmter Maschinenbefehle bzw. bestimmter Befehlsse- 
quenzen, insbesondere hinsichdich bestimmter Teilfol- 
gen der Folgen von Maschinenbefehlen bzw. bestimm- 
ter Teilfolgen von Befehlssequenzen — nachfolgend 
30 Suchfolge bzw. Suchsequenz genannt untersucht 
wird 

Wenn die Suchfolge bzw. die Suchsequenz innerhaib 
der Queilfoige bzw. der Quellsequenz erkannt wird, ist 
es moglich, daB die Inkrementierungsanweisungen der 
35 Suchfolge bzw. der Suchsequenz vorangestellt oder an- 
gefugt werden. Die Suchfolge bzw. die Suchsequenz ist 
die jeweilige Auspragung derjenigen Elemente der 
Queilfoige bzw. der Quellsequenz, denen gemaB der 
obigen Ausfuhrungen eine Inkrementierungsanweisung 
40 zuzuordnen ist — also zumindest Blockgrenzen und/ 
oder Sprungbefehle. 

GemaB einer spezieilen Realisierung erfolgt das Ein- 
fugen der Inkrementierungsanweisung mit Hilfe eines 
spezieilen Compilers. Das Umsetzungsverfahren des 
45 spezieilen Compilers unterscheidet sich von dem eines 
Standard-Compilers dadurch, daB diejenigen Sprach- 
mittel, die z. B. einen Block oder einen Sprungbefehl 
definieren, erkannt werden und in die zugehorigen Ma- 
schinenbefehle sowie zusatzlich in die Inkrementie- 
50 rungsanweisungen ubersetzt werden. 

Als Alternative bietet sich ein sogenannter "Pre- Pro- 
zessor" an. Mit Hilfe des Pre-Prozessors ist eine Vor- 
Verarbeitung der Befehlssequenzen einer Program- 
miersprache moglich. Unter Zuhilfenahme einer spe- 
55 ziellen — einem Programmierer prinzipiell bekannten 
— Syntax kann ein solcher Pre-Prozessor veranlaBt 
werden, bestimmte Sprachmittel einer Programmier- 
sprache, z. B. solche Sprachmittel, die einen Block einiei- 
ten, auszutauschen gegen ein Sprachmittel, das einen 
eo solchen Block einleitet sowie ein weiteres Sprachmittel, 
mit dem die Inkrementierungsanweisung ausgelost 
wird. 

Wiinschenswert ist jedoch, daB das Einfugen der In- 
krementierungsanweisungen in die Folge von Maschi- 
65 nenbefehlen in fiir den Benutzer transparenter Weise 

erfolgt. Die oben beschriebenen Anweisungen an den 

Pre-Prozessor sind fur den Anwender erkennbar und 

damit manipuiierbar. Eine Manipulation jedoch konnte 
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eventuell zu Fehlern bei der Synchronisation und/oder 
zu Fehlern im erzeugten Programm selbst fiihren. Des- 
halb besteht eine weitere vorteilhafte Alternative fur 
das Einfugen der Inkrementierungsanweisungen in die 
Folge der Befehlssequenzen darin, da8 anstelie des Pre- 5 
Prozessors ein spezieller Pre-Prozessor zum Einsatz 
kommt, der unabhangig von eventuell weiteren anwei- 
sungsgemaBen Austauschungen zumindest diejenigen 
Befehlssequenzen, denen gemaB der obigen Ausfiihrung 
eine Inkrementieningsanweisung zuzuordnen ist, in 10 
eben diese Befehlssequenzen sowie die Inkrementie- 
rungsanweisung umsetzt 

Ober die genannten Alternativen zum Einfugen der 
Inkrementierungsanweisungen, die vom Anwender im 
wesentlichen nicht beeinfluBbar sind, ist es weiterhin 15 
moglich, daB der Anwender selbst die Inkrementie- 
rungsanweisungen in die Folge von Maschinenbefehien 
oder in die Folge von Befehlssequenzen einfugt 

Weitere Vorteile und Einzelheiten ergeben sich aus 
der nachfoigenden Beschreibung eines Ausfuhrungsbei- 20 
spiels. Dabei zeigen 

Fig. 1 ein Blockschaltbild eines Automatisierungssy- 
stems, 

Fig. 2 das Prinzip des Synchronisationsverfahrens, 
Fig. 3 ein FluBdiagramm des Synchronisationsverfah- 25 
rens, 

Fig. 4 das Prinzip des Einfugeverf ahrens, 
Fig. 5 und Fig. 6 ein FluBdiagramm des Einfiigever- 
fahrens. 

GemaB Fig. I besteht das redundante Automatisie- 30 
rungssystem 1 aus mindestens zwei Teilsystemen 2, 2', 
die zur Steuerung und Fuhmng eines nicht dargestellten 
technischen Prozesses mit dem technischen ProzeB ver- 
bindbar sind. Jedes Teilsystem 2, 2' weist einen Prozes- 
sor 3, eine Datenspeichereinheit 4, eine Befehlsfolge- 35 
speichereinheit* 5 sowie mindestens ein Kommunika- 
tionsmittel 6 auf. Dabei sind die Datenspeichereinheit 4 
und die Befehlsfolgespeichereinheit 5 nicht notwendi- 
gerweise getrennte Einheiten des redundanten Autorna- 
tisierungssystems 1. 40 

Die mindestens zwei Teilsysteme 2, 2' kommunizieren 
uber die Kommunikationsmittel 6 und uber einen Bus 7 
miteinander bzw. mit dem nicht dargestellten techni- 
schen ProzeB. 

In der Datenspeichereinheit 4 ist zumindest der Wert 45 
des Synchronisationszahlers SZ, SZ' sowie der Synchro- 
nisationszahler-Zielwert SZZ gespeichert. In der Be- 
fehlsfolgespeichereinheit 5 ist zumindest die Folge von 
Maschinenbefehien MP — gespeichert. Die Folge von 
Maschinenbefehien MP ist fur die zwei Teilsysteme 2, 2' 50 
zumindest funktional identisch. Zur Steuerung des nicht 
dargestellten technischen Prozesses fiihrt der Prozessor 
3 der Teilsysteme 2, 2' die Folge der Maschinenbefehle 
MP der Befehlsfolgespeichereinheit 5 aus. 

In Fig. 2 sind die Folgen der Maschinenbefehle MP 55 
fur die mindestens zwei Teilsysteme 2, 2' dargestellt. Die 
Folge von Maschinenbefehien MP auf der linken Seite 
sei dabei die Folge von Maschinenbefehien MP fur das 
Teilsystem 2, die Folge von Maschinenbefehien MP auf 
der rechten Seite sei entsprechend die Folge von Ma- eo 
schinenbefehlen MP fur das Teilsystem 2'. 

GemaB Fig. 2 sind in die Folgen von Maschinenbe- 
fehien MP Inkrementierungsanweisungen IA eingefugt - 
Mit Hilfe der Inkrementierungsanweisungen IA wird 
der Synchronisationszahler SZ, SZ' des jeweiligen Teil- es 
systemes 2, 2' inkrementiert, d. h. um 1 erhoht Die mit 
dem Pfeil 10, 10' bezeichneten Positionen innerhalb der 
Folge von Maschinenbefehien MP bezeichnen jeweils 


denjenigen Maschinenbefehl, der zum Zeitpunkt des 
Auftretens des Sonderereignisses 11 aktuell ausgefuhrt 
wird. Wie man aus Fig. 2 weiterhin erkennt, registriert 
zumindest eines der Teilsysteme 2, 2' das Sonderereignis 
11. 

GemaB Fig. 2 fiihren zu diesem Zeitpunkt die Teilsy- 
steme 2, 2' unterschiedliche Maschinenbefehle der Fol- 
ge von Maschinenbefehien MP aus. Eine Behandlung 
des Sonderereignisses 11 zu diesem Zeitpunkt konnte 
unter Umstanden zu inkonsistenten Daten der Teilsy- 
steme 2, 2' des Automatisierungssystems 1 fuhrert Da- 
her ist vor Behandlung des Sonderereignisses 11 eine 
Synchronisation der Teilsysteme 2, 2 / erforderlich. Fur 
das Teilsystem 2 hat der Synchronisationszahler SZ zum 
Zeitpunkt des Auftretens des Sonderereignisses 11 den 
Wert n. Fur das Teilsystem 2' hat der Synchronisations- 
zahler SZ' zum Zeitpunkt des Auftretens des Sonderer- 
eignisses bereits den Wert n + 1. 

Zur Synchronisation muB dasjenige Teilsystem 2, 2', 
das dem mindestens einen anderen Teilsystem 2, 2' bei 
der Ausfiihrung der Folge von Maschinenbefehien MP 
vorauseilt, die Ausfiihrung der Folge von Maschinenbe- 
fehien MP unterbrechen, solange bis auch das andere 
Teilsystem 2, 2' die korrespondierende Position inner- 
halb der funktional identischen Folgen von Maschinen- 
befehien MP erreicht hat 

Unmittelbar korrespondierende Positionen innerhalb 
der Folge von Maschinenbefehien MP sind jeweils die 
Inkrementierungsanweisungen LA. Bei dem in Fig. 2 
dargestellten Zustand hat der Synchronisationszahler 
SZ' den Wert n+ 1. Der Synchronisationszahler SZ hat 
den Wert n. Wiirde die Ausfuhrung der Folge von Ma- 
schinenbefehien MP des Teilsysternes 2' im aktuellen 
Zustand angehalten, wahrend die Ausfuhrung der Folge 
von Maschinenbefehien MP im Teilsystem 2 fortgesetzt 
wird, solange bis auch der Synchronisationszahler SZ 
den Wert n + 1 erreicht, ware dennoch keine Synchroni- 
sation erreicht y 

Die nachste Inkrementieningsanweisung IA, die bei- 
de Teilsysteme 2, 2' gleichzeitig erreichen konnen, ist 
daher die Inkrementieningsanweisung IA, bei der so- 
wohl der Synchronisationszahler SZ, wie auch der Syn- 
chronisationszahlers SZ' den Wert n-i-2 annimmt Der 
Wert des Synchronisationszahler SZ. SZ' den beide Teil- 
systeme 2, 2' gemeinsam erreichen konnen, wird Syn- 
chronisationszahler-Zielwert SZZ. genannt Die Syn- 
chronisationsposition SP entspricht dabei der Position 
derjenigen Inkrementierungsanweisung IA innerhalb 
der Folgen von Maschinenbefehien MP, bei der der 
Wert des Synchronisationszahlers SZ, SZ' den Synchro- 
nisationszahler-Zielwert SZZ erreicht 

Nach Registrierung des Sonderereignisses 1 1 sendet 
das alarmierte Teilsystem 2 gemaB Fig. 3 zur Ermittlung 
des Synchronisationszahler-Zielwertes SZZ an das min- 
destens eine andere Teilsystem 2' den Wert seines Syn- 
chronisationszahlers SZ sowie das Sonderereignis 11. — 
Dies ist der fruhestmogiiche Zeitpunkt zur Obermitt- 
lung des Sonderereignisses 11. Spatestens muB das Son- 
derereignis im Zusammenhang mit der Obermittlung 
des Synchronisationssignals SS ubermittelt werden. — 
Dadurch ist das mindestens eine andere Teilsystem 2' 
uber das Auftreten eines Sonderereignisses 11 infor- 
miert und sendet seinerseits den aktuellen Wert seines 
Synchronisationszahlers SZ', den das alarmierte Teilsy- 
stem 2 empfangt. 

Damit kennt jedes Teilsystem 2, 2' den Wert des eige- 
nen Synchronisationszahlers SZ sowie den Wert des 
Synchronisationszahlers SZ' des mindestens einen ande- 
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ren Teilsystemes 2, 2'. Der Synchronisationszahler-Ziel- 
wert SZZ ergibt sich aus dem Maximalwert der beiden 
inkrementierten Synchronisationszahler SZ, SZ'. Alter- 
nativ ist es selbstverstandlich auch moglich, zunachst 
den Maximalwert zu ermitteln und den Synchronisa- 
tionszahler-Zielwert SZZ durch inkrementieren dieses 
Maximalwertes zu ermitteln. 

Beide Teilsysteme 2, 2' setzen nach dem Austausch 
der Synchronisationszahler SZ, SZ' das Ausfuhren der 
Folge von Maschinenbefehlen MP fort. Sobald eines der 
Teilsysteme 2, 2' bei der Ausfuhrung der Folge von Ma- 
schinenbefehlen MP die Synchronisationsposition SP 
erreicht hat, unterbricht es das Ausfuhren der Folge von 
Maschinenbefehlen MR Das Erreichen der Synchroni- 
sationsposition SP kann entweder durch Vergleich der 
Adresse des aktuell ausgefuhrten Befehls der Folge von 
Maschinenbefehlen MP mit der Adresse der Synchroni- 
sationsposition SP, oder aber — gemaB Fig. 3 — durch 
Oberwachen des Wertes des Synchronisationszahlers 
SZ, SZ' auf das Erreichen des Synchronisationszahler- 
Zielwertes SZZ erkannt werden. 

Jedes Teilsystem 2, 2', das die Synchronisationsposi- 
tion SP erreicht, signalisiert dem mindestens einen ande- 
ren Teilsystem 2, 2' durch Obermitteln eines Synchroni- 
sationssignals SS das Erreichen der Synchronisations- 
position SP. Das alarmierte Teilsystem 2, 2' ubermittelt 
dem mindestens einen anderen Teilsystem 2, 2' das Son- 
derereignis 11 friihestens unmittelbar nach dem Regi- 
strieren des Sonderereignisses 11 und spatestens in Zu- 
sammenhang mit der Obermittlung des Synchronisa- 
tionssignals SS. 

Jedes Teilsystem 2, 2' ermittelt sobald es die Synchro- 
nisationsposition SP erreicht hat und das Synchronisa- 
tionssignal SS von dem mindestens einen anderen Teil- 
system 2, 2' empfangen hat, eine fur das Sonderereignis 
1 1 spezifische Reaktion und fuhrt diese aus. Nach Aus- 
fuhren der fur das Sonderereignis 11 spezifischen Reak- 
tion setzen die Teilsysteme 2, 2' das Ausfuhren der Fol- 
ge von Maschinenbefehlen MP nach der Synchronisa- 
tionsposition SP fort. 

Wie bereits eingangs erwahnt, gibt es auch Faile, bei 
denen fur die Ausfuhrung der fur das Sonderereignis 1 1 
spezifischen Reaktion das Austauschen bzw. das War- 
ten auf das Synchronisationssignal SS nicht erforderlich 
ist. In einem solchen Fall wird bei Erreichen der Syn- 
chronisationsposition SP die sonderereignis-spezifische 
Reaktion unmittelbar ausgefiihrt Es sei daher ausdruck- 
lich darauf hingewiesen, daB in dem FluBdiagramm nach 
Fig. 3 die Blocke zwischen der Abfrage "SZ<SZZ?" 
und dem Ausfuhren der "sonderereignis-spezifische Re- 
aktion" optional sincL Der optionale Abschnitt wird je- 
desmal dann ausgelassen, wenn keine exakte zettliche 
Synchronisation erforderlich ist und es statt dessen aus- 

reicht, daB die sonderereignis-spezifische Reaktion 
zwar nicht zeitgleich, aber doch an funktional Identi- 
schen Positionen der Folgen von Maschinenbefehlen 
MP ausgefuhrt wird. 

GemaB einer alternativen Ausgestaltung des erfin- 
dungsgemaBen Synchronisationsverfahrens werden an- 
steile der Inkrementierungsanweisungen IA Dekremen- 
tierungsanweisungen IA in die Folgen von Maschinen- 
befehlen eingefugt In einem solchen Fall kann — ge- 
nauso wie zuvor der Synchronisationszahler SZ, SZ', 
ausgehend von 0, jeweils um 1 inkrementiert wird — der 
Synchronisationszahler SZ, SZ' ausgehend von einem 
Startwert, z. B. 32.767, jeweils dekrementiert werden. 
Das Synchronisationsverfahren lauft dabei unter Aus- 
wertung dieses nunmehr dekrementierten Synchronisa- 


tionszahlers SZ, SZ' in vollig analoger Weise ab. 

Fig. 4 stellt das Einfugeverfahren der Inkrementie- 
rungsanweisungen IA am Beispiel von Befehlssequen- 
zen einer Programmiersprache dar. Insbesondere fur 
5 strukturierte Programmiersprachen hat sich eine Dar- 
stellung des Programmablaufs in einem sogenannten 
Struktogramm durchgesetzt Aus diesem Strukto- 
gramm gehen insbesondere die Blockgrenzen und die 
damit einhergehenden Strukturierungen hervor. Auf 
io der linken Seite ist schematisch ein einfaches Strukto- 
gramm dargestellt Das Struktogramm besteht aus den 
beiden Blocken Bl und B2, wobei der Block Bl z. B. fur 
das sogenannte Hauptprogramm, der Block B2 dagegen 
exemplarisch fur ein sogenanntes Unterprogramm 
15 stent 

Die Ausfuhrung des Programms beginnt im Haupt- 
programm Bl. Sowohl das Hauptprogramm Bl als auch 
das Unterprogramm B2 bilden jeweils einen separaten 
Block. Sie sind deshalb in Blockbefehle eingebettet Der 
20 Blockbefehl am Beginn des Hauptprogramms Bl bzw. 
des Unterprogramms B2 leitet jeweils den Block ein, der 
Blockbefehl am Ende des Hauptprogramms Bl bzw. des 
Unterprogramms B2 beendet den Block. Auch inner- 
halb der Anweisungen eines Blockes konnen weitere 
25 Blocke auftreten, z. B. fur mehrfach zu wiederholende 
Anweisungen, wie beispielsweise bei Schleifen. Das Un- 
terprogramm B2 wird im Hauptprogramm Bl aus dem 
inneren Block aufgerufen. 
Fig. 4 zeigt auf der rechten Seite das sich ergebende 
30 Struktogramm mit den eingefugten Inkrementierungs- 
anweisungen LA. Jeder Blockbefehl, der einen Block ein- 
leitet wird dabei in einen Blockbefehl, der einen Block- 
befehl einleitet und eine Inkrementierungsanweisung 
IA transformiert; jeder Blockbefehl, der einen Block 
35 beendet, wird dabei in eine Inkrementierungsanweisung 
IA, und einen Blockbefehl der einen Block beendet, 
transformiert Die Abfolge von Blockbefehl und Inkre- 
mentierungsanweisung IA ist nicht auf die in Fig. 4 dar- 
gestellte Abfolge beschrankt und kann auch variieren. 
40 Auch die Anweisung, mit der im inneren Block des 
Hauptprogramms Bl das Unterprogramm B2 aufgeru- 
fen wird, wird in eine Inkrementierungsanweisung IA 
und eine Anweisung, mit der das Unterprogramm B2 
aufgerufen wird, transformiert 
45 Die Fig. 5 und 6 zeigen jeweils ein FluBdiagramm des 
Einfugeverfahrens. 

Fig. 5 stellt das Einfugeverfahren gemaB Anspruch 6 
grafisch dar. Zunachst wird der Wert des Befehlszahlers 
BZ initialisiert, d. h. auf Null gesetzt Daraufhin wird der 
50 aktuell folgende Maschinenbefehi der Folge von Ma- 
schinenbefehlen MP ermittelt Nur dann, wenn es sich 
bei dem Maschinenbefehi um einen Sprungbefehl han- 
delt, wird eine Inkrementierungsanweisung IA in die 

Folge von Maschinenbefehlen MP eingefugt Nur dann, 
55 wenn der Befehlszahler BZ einen Befehlszahlerschwell- 
wert BZS uberschreitet, wird eine Inkrementierungsan- 
weisung IA in die Folge von Maschinenbefehlen MP 
eingefugt und daraufhin der Befehlszahler BZ wieder 
auf Null gesetzt Darauf wird der ermittelte Maschinen- 
eo befehl in die Folge von Maschinenbefehlen MP einge- 
fugt Im AnschluB an das Einfugen des Maschinenbe- 
fehls wird der Befehlszahler BZ inkrementiert, dh.uml 
erhoht, da die Anzahl der Maschinenbefehle der Folge 
von Maschinenbefehlen MP jetzt genau um einen Ma- 
65 schinenbefehi zugenommen hat Die Abarbeitung wird 
mit der Ermittlung des nachsten Maschinenbefehls fort- 
gesetzt, solange bis samtliche Maschinenbefehle abge- 
arbeitet sind. 
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Anstelie des Befehlszahier BZ bzw. des Befehlszahler- 
schweilwertes BZS gemaB Fig* 5 kann auch ein Lauf- 
zeitzahler bzw. ein LaufzeitzaWer-Schweliwert einge- 
setzt werden. Der L&ufzeitzahler wird -jeweils urn die 
Laufzeit des eingefugten Maschinenbefehls erhoht Der 5 
Laufzeitzahler-Schwellwert gibt die Laufzeit zwischen 
zwei Inkrementierungsanweisungen IA vor. 

Fig. 6 zeigt das Einfiigeverfahren gemaB Anspruch 7, 
das sich auf eine Folge von Maschinenbefehlen MP bzw. 
auf eine Folge von Befehlssequenzen einer Program- to 
miersprache bezieht, durch deren Interpretation ein 
ProzeB, insbesondere ein technischer ProzeB, gesteuert 
wird. Zum Einfugen von Inkrementierungsanweisungen 
LA wird die Folge von Maschinenbefehlen MP bzw. die 
Folge von Befehlssequenzen auf das Auftreten der 15 
Suchfolge bzw. der Suchsequenz untersucht- Nur dann, 
wenn die Suchfolge bzw. die Suchsequenz innerhalb der 
Folge von Maschinenbefehlen bzw. der Folge von Be- 
fehlssequenzen gefunden wurde, wird eine Inkrementie- 
rungsanweisung in diese eingefugt. Das Einfugeverfah- 20 
ren wird mit der Untersuchung der Folge von Maschi- 
nenbefehlen bzw. der Folge von Befehlssequenzen fort- 
gesetzt, solange bis diese komplett untersucht sind. 

AbschlieBend soil noch zur Bedeutung des Ausdrucks 
"funktional identisch" Stellung genommen werden, 25 
Funktional identische Folgen von Maschinenbefehlen 
entstehen z. B. als Resultat eines Kompilates von An- 
weisungen in verschiedenen Hochsprachen, die jedoch 
ein und dieselbe Aufgabe beschreiben. Weiterhin ent- 
stehen funktional identische Folgen von Maschinenbe- 30 
fehlen als Resultat eines Kompilates aus Anweisungen 
in einer Hochsprache, die jedoch von unterschiedlichen 
Compilern fur diese Hochsprache umgesetzt wurden. 
Funktional identische Folgen von Maschinenbefehlen 
ergeben sich auch Resultat eines Kompilates von An- 35 
weisungen aus ein und derselben Hochsprache, die die 
gleiche Aufgabe beschreiben, die von ein und demsel- 
ben Compiler, doch mit unterschiedlichen Parametern 
fur diesen Compiler, z. B. unterschiedliche Optimie- 
rungsstufen, verarbeitet wurden. 40 

Patentansprliche 

1. Synchronisationsverfahren fur ein redundant aus 
mindestens zwei Teilsystemen (2, 2') aufgebautes 45 
Automatisierungssystem (1), bei dem die minde- 
stens zwei Teilsysteme (2, 2') jeweils mindestens 
einen Prozessor (3) aufweisen, iiber Kommunika- 
tionsmittel (6) miteinander gekoppelt sind, zur 
Steuerung eines Prozesses funktional identische 50 
Folgen von Maschinenbefehlen (MP) ausfiihren 
und sich von Zeit zu Zeit iiber das Kommunika- 
tionsrnittel miteinander synchronisieren, dadurch 
gekennzeichnet, 

— daB jedes der Teilsysteme (2, 2') einen Syn- 55 
chronisationszahler(SZ, SZ') aufweist, 

— daB die Folgen von funktional identischen 
Maschinenbefehlen (MP) an miteinander kor- 
respondierenden Stellen Inkrementierungs- 
bzw. Dekrementierungs-Anweisungen (IA) eo 
aufweisen, mit denen der Synchronisations- 
zahler (SZ, SZ') inkrementiert bzw. dekremen- 
tiert wird, 

— daB eine Synchronisation zumindest dann 
durchgefiihrt wird, wenn eines der Teilsysteme ss 
(2, 2'), das alarmierte Teilsystem (2, 2% ein Son- 
derereignis (1 1) registriert, 

— wobei diese Synchronisation in folgenden 


. Schritten ablauft: 
Jedes Teilsystem (2, 2') 

a) ubermittelt dem anderen Teilsystem (2, 2') 
den aktuellen Wert seines Synchronisations- 
zahlers (SZ, SZ'), 

b) ermittelt aus dem inkrementierten bzw. de- 
krementierten Wert des eigenen Synchronisa- 
tionszahlers (SZ, SZ') und aus dem inkremen- 
tierten bzw. dekrementierten Wert des Syn- 
chronisationszahlers (SZ, SZ') des anderen 
Teilsystemes (2, 2') den aktuell groBten bzw. 
kleinsten Wert, den Synchronisationszahler- 
Zielwert (SZZ), 

c) unterbricht die Ausfuhrung der Folge von 
Maschinenbefehlen (MP) beim Erreichen einer 
Position innerhalb der Folge von Maschinen- 
befehlen (MP) — nachfolgend Synchronisa- 
tionsposition (SP) genannt — bei der die Wer- 
te der jeweiiigen Synchronisationszahler (SZ, 
SZ') den Synchronisationszahler-Zielwert 
(SZZ) erreichen, 

d) ermittelt eine fur das Sonderereignis (11) 
spezifische Reaktion, fiihrt diese aus und setzt 
danach die Ausfuhrung der Folge von Maschi- 
nenbefehlen (MP) nach der Synchronisations- 
position (SP) fort, 

— wobei das alarmierte Teilsystem (2, 2') dem 
anderen Teilsystem (2, 2') das Sonderereignis 
(11) friihestens unmittelbar nach dem Regi- 
strieren des Sonderereignisses (11) und spate- 
stens in Zusammenhang mit der Ermittlung 
der fur das Sonderereignis (11) spezifischen 
Reaktion ub ermittelt. 

2. Synchronisationsverfahren fur ein redundant aus 
mindestens zwei Teilsystemen (2, 2') aufgebautes 
Automatisierungssystem (1), bei dem die minde- 
stens zwei Teilsysteme (2, 2') jeweils mindestens 
einen Prozessor (3) aufweisen, iiber Kommunika- 
tionsmittel (6) miteinander gekoppelt sind, zur 
Steuerung eines Prozesses funktional identische 
Folgen von Maschinenbefehlen (MP) ausfiihren 
und sich von Zeit zu Zeit iiber das .Kommunika- 
tionsmittel miteinander synchronisieren, dadurch 
gekennzeichnet, 

— daB jedes der Teilsysteme (2, 2') einen Syn- 
chronisationszahler (SZ, SZ') aufweist, 

— daB die Folgen von funktional Identischen 
Maschinenbefehlen (MP*) an miteinander kor- 
respondierenden Stellen Inkrementierungs- 
bzw. Dekrementierungs-Anweisungen (IA) 
aufweisen, mit denen der Synchronisations- 
zahler (SZ, SZ') inkrementiert bzw. dekremen- 
tiert wird, 

— daB eine Synchronisation zumindest dann 
durchgefiihrt wird, wenn eines der Teilsysteme 
(2, 2'), das alarmierte Teilsystem (2, 2'), ein Son- 
derereignis (11) registriert, 

— wobei diese Synchronisation in folgenden 
Schritten ablauft: 

Jedes Teilsystem (2, 2') 

a) ubermittelt dem anderen Teilsystem (2, 2') 
den aktuellen Wert seines Synchronisations- 
zahiers (SZ, SZ'), 

b) ermittelt aus dem inkremenuerten bzw. de- 
krementierten Wert des eigenen Synchronisa- 
tionszahlers (SZ, SZ f ) und aus dem inkremen- 
tierten bzw. dekrementierten Wert des Syn- 
chro nisationszahlers (SZ, SZ') des anderen 
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Teilsystemes (2, 2') den aktuell groBten bzw. 
kleinsten Wert, den Synchronisationszahler- 
Zielwert (SZZ), 

c) unterbricht die Ausfuhrung der Folge von 
Maschinenbefehlen (MP) beim Erreichen einer 5 
Position innerhalb der Folge von Maschinen- 
befehlen (MP) — nachfolgend Synchronisa- 
tionsposition (SP) genannt — bei der die Wer- 

te der jeweiligen Synchronisationszahler (SZ, 
SZ') den Synchronisationszahler-Zielwert 10 
(SZZ) erreichen, 

d) signalisiert dem anderen Teilsystem (2, 2') 
mit einem Synchronisationssignai (SS) das Er- 
reichen der Synchronisationsposition (SP), 

e) ermittelt nach Erreichen der Synchronisa- 15 
tionsposition (SP) und nach Registrieren des 
Synchronisationssignals (SS) vom anderen 
Teilsystem (2, 2') eine fur das Sonderereignis 
(11) spezifische Reaktion, fiihrt diese aus und 
setzt danach die Ausfiihrung der Folge von 20 
Maschinenbefehlen (MP) nach der Synchroni- 
sationsposition (SP) fort, 

— wobei das alarmierte Teilsystem (2, 2') dem 
anderen Teilsystem (2, 2') das Sonderereignis 
(11) friihestens unmittelbar nach dem Regi- 25 
strieren des Sonderereignisses (11) und spate- 
stens in Zusammenhang mit dem Synchronisa- 
tionssignai (SS) ubermittelt 

3. Synchronisationsverfahren nach Anspruch 1 
oder 2, dadurch gekennzeichnet, 30 

— daB jedem Maschinenbefehl der Folge von 
Maschinenbefehlen (MP) durch dessen Posi- 
tion innerhalb der Folge von Maschinenbefeh- 
len (MP) eine eindeutige Adresse zugeordnet 
ist, 35 

— daB die Adresse eines jeden Maschinenbe- 
fehls der Folge von Maschinenbefehlen (MP), 
insbesondere die Adresse des aktuell auszu- 
fiihrenden Maschinenbefehls sowie die Adres- 
se desjenigen Maschinenbefehls, der mit der 40 
Synchronisationsposition (SP) korrespondiert, 
ermittelbar ist, 

— daB beim Ausfuhren der Folge von Maschi- 
nenbefehlen (MP) — zumindest nach der Regi- 
strierung des Sonderergeignisses (11) dufch 45 
das alarmierte Teilsystem (2, 2') — stets die 
Adresse des aktuell auszufuhrenden Maschi- 
nenbefehls mit der Adresse desjenigen Ma- 
schinenbefehls, der mit der Synchronisations- 
position (SP) korrespondiert, verglichen wird 50 
und 

— daB das Ausfuhren der Folge von Maschi- 
nenbefehlen (MP) genau bei Erreichen der 
Synchronisationsposition (SP) unterbrochen 
wird. 55 

4. Synchronisationsverfahren nach Anspruch 1 
oder 2, dadurch gekennzeichnet, 

— daB beim Ausfuhren der Folge von Maschi- 
nenbefehlen (MP) — zumindest nach der Regi- 
striemng des Sonderergeignisses (11) durch 60 
das alarmierte Teilsystem (2, 2') — stets der 
Wert des Synchronisationszahlers (SZ, SZ') 
mit dem Synchronisationszahler-Zielwert 
(SZZ) verglichen wird und 

— daB das Ausfuhren der Folge von Maschi- 65 
nenbefehlen (MP) unterbrochen wird, wenn 
der Wert des Synchronisationszahlers (SZ, 
SZ') den Synchronisationszahler-Zielwert 
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(SZZ) erreicht 

5. Synchronisationsverfahren nach Anspruch 1, 2, 3 
oder 4, dadurch gekennzeichnet, daB die Inkremen- 
tierungs-Anweisungen (I A) jeweils zumindest 

— nach einer festen Anzahl von Einzelbefeh- 
len der Folge von Maschinenbefehlen (MP) 
oder — unter Bewertung der Laufzeit einer 
Anzahl von Maschinenbefehlen — in bestimm- 
ten, im wesentlichen aquidistanten Laufzeitin- 
tervallen sowie 

— in Zusammenhang mit jedem Sprungbefehl 
ausgefuhrt werden. 

6. Synchronisationsverfahren nach einem der vor- 
stehenden Anspriiche, dadurch gekennzeichnet, 
daB die Inkrementierungsanweisungen (IA) jeweils 

— nach einer festen Anzahl von Einzelbefeh- 
len der Folge von Maschinenbefehlen (MP) 
oder — unter Bewertung der Laufzeit einer 
Anzahl von Maschinenbefehlen — in bestimm- 
ten, im wesentlichen aquidistanten Laufzeitin- 
tervallen sowie 

— in Zusammenhang mit jedem Sprungbefehl 
in die Folge von Maschinenbefehlen (MP) ^n- 
gefugt werden* 

7. Synchronisationsverfahren nach einem der vor- 
stehenden Anspriiche, dadurch gekennzeichnet, 

— daB die Folge von Maschinenbefehlen (MP) 
aus einer Folge von Befehlssequenzen einer 
Programrniersprache generiert wird, 

— daB die Folge von Maschinenbefehlen (MP) 
bzw. die Folge von Befehlssequenzen auf be- 
stimmte Maschinenbefehle bzw. bestimmte 
Befehlssequenzen, insbesondere auf bestimm- 
te Teilfolgen der Folgen von Maschinenbefeh- 
len (MP) bzw. bestimmter Teil folgen der Be- 
fehlssequenzen — nachfolgend Suchfolge bzw. 
Suchsequenz genannt — untersucht wird, 

— daB das Auftreten der Suchfolge bzw. der 
Suchsequenz erkannt wird und 

— daB die Inkrementierungs-Anweisungen 
(IA) der Suchfolge bzw. der Suchsequenz vor- 
angestellt oder angefugt werden. 

8. Synchronisationsverfahren nach Anspruch 7, da- 
durch gekennzeichnet, 

— daB zusammengehorige Befehlssequenzen 
jeweils in einem Block zusammengefaSt sind 
und 

— daB eine der Suchfolgen bzw. eine der 
Suchsequenzen zumindest eine der Grenzen 
des Blockes und/oder ein Sprungbefehl ist. 

9. Synchronisationsverfahren nach Anspruch 8, da- 
durch gekennzeichnet, 

— daB die Inkrementierungs-Anweisungen 

(IA) wahrend einer Generierung der Folge von 
Maschinenbefehlen (MP) in diese eingefiigt 
werden, 

— wobei die Generierung der Folge von Ma- 
schinenbefehlen (MP) in an sich bekannter 
Weise mit Hiife eines speziellen Compilers er- 
folgt, 

— wobei der spezielle Compiler jeweils beim 
Erkennen der Suchfolge bzw. der Suchsequenz 
die Inkrementierungs-Anweisungen (IA) gene- 
riert und in die Folgen von Maschinenbefehlen 
(MP) einfugt 

10. Synchronisationsverfahren nach Anspruch 8 
oder 9, dadurch gekennzeichnet, 

— daB die Inkrementierungs-Anweisungen 


BNSDOCID- <OE_ 1 96251 95A1_L> 


[EiCHNIjNGEN SE1TE 6 



Nummi 
Int. CIJ 
Offenlegungstag 



DE 196 25 195 A1 
G05B 9/03 

2. Januar 1998 


i 

Folge von Maschinenbefehlen bzw. 
Folge von Befehlssequenzen auf Suchfolge 
bzw. Suchsequenz untersuchen 



IA einfuaen 


FIG 6 


702 061/353 


ZEICHNUNGEN SEITE 5 ^ Nur^r: OE 196 25 195 A1 

Int.^P: G05B 9/03 

Off enlegungstag: 2. Januar1998 




nachsten Maschinenbefehl ermitteln 




BZ: = 0 


Maschinenbefehl einfugen 

1 


BZ : = BZ + 1 


FIG 5 


702 061/353 


D £ 1 9625 1 95 A 1 J _■> 


ZE1CHNUNGEN SEITE 4 a. Numnj^ DE 196 25 195 At 



Int. CIV G 05 B 9/03 

Offenlegungstag: 2. Januar 1998 


B2 


block 


biock 


B1 


block 


block 


B2 


block 


block 


/////////// 

* — > 

/////////// 


/ / / - /////// 

« — > 

/////////// 



/////////// 

* => 

/////////// 


///////////. 

/////////// 


/ / /////////. 

=> 

/////////// 


B2 


block 


IA 


IA 


block 


B1 

block 

IA 




block . 

IA 


IA 

-~B2 


IA 

block 


IA 

block 


FIG 4 


702 061/353 


BNSOOClD* <DE 19625195A1 J - 


ZEICHNUNGEN SEITE 3 



NurQMer: 
Int. Ww: 

Offenlegungstag: 


OE 196 25195 A1 
G 05 B 9/03 

2. Januar 1998 


sende Sonderereignis 


empfange SZ' 



SZ : = SZ + 1 
SZ* : = SZ' + 1 


SZZ : = max (SZ, SZ') 



Ausfuhren von Einzelbefehlen 
der Folge von Maschinenbefehlen 

fortsetzen 


; sende Sonderereignis j 



optional 


| sonderereignis-spezifische Reaktion 


FIG 3 


702 061/353 


BNSDOCID: <DE_!9625195A1 1 > 


ZEICHNUNGEN SEITE 2 



Numi 
Int. cr 
Offenlegungstag; 


DE 196 25 195 A1 
G05B 9/03 

2. Januar 1998 


MP 


MP 


10 c> 


IA 


SZ = n 


/ 11 


IA 


SZ* = n 


IA 


SZ = n + 1 


IA 


SZ' = n + 1 


10' c=> 


IA 


SZ = n + 2 


IA 


SZ' = n + 2 


IA 


SZ = n + 3 


IA 


SZ' = n + 3 


FIG 2 


702 061/353 


9NSOOCID: «rOF iQfi^iO^ai I » 


ZEICHNUNGEN SEITE 1 



Nui 

Int. 

Offenlegungstag: 


DE 196 25 195 A1 
G 05 B 9/03 

2. Januar 1998 



BNSDOCID: <DE_1962S195A1 l> 


BNSDOCID: <DE_19625195A1 


• DE 196 25 195 Al^ 
mr i6 

(IA) vor und/oder nach einer Generierung der 
Foige von Maschinenbefehlen (MP) in diese 
eingefiigt werden, 

— daB die Generierung der Folge von Maschi- 
nenbefehlen (MP) in an sich bekannter Weise 5 
mit Hilfe eines Standard-Compilers erfolgt, 

— daB vor und/oder nach der Generierung 
jeweils beim Erkennen der Suchfolge bzw. der 
Suchsequenz die Inkrernentierungs-Anwei- 
sungen (IA) in die Folge von Maschinenbefeh- 10 
len (MP) bzw. die Folge von Befehlssequenzen 
eingefiigt werdeiL 
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